Virus 


Flu Burung 


Waspada H5N1 
Menyerang Komputer 


Jangan biarkan komputer Anda 


terserang flu, seperti yang dialami 


oleh komputer milik salah satu 
pembaca PC Media ini. Apalagi 
bila flu tersebut bukanlah 


penyakit flu biasa, tapi flu burung 


atau HSNI. Ternyata penyakit 


yang mematikan bagi unggas dan 


manusia ini dapat menular juga 
pada komputer Anda. 


Arief Prabowo 


M ungkin Anda sedikit bingung dengan 
pernyataan di atas. “Lho, bagaimana 
bisa komputer terkena virus flu burung?” 
Jawabnya, ya bisa saja. Tapi virus yang ini bu- 
kanlah virus flu burung biologis seperti yang 
menyerang pada unggas dan manusia. 

Hanya satu persamaan yang ada antara 
virus flu burung biologis dengan yang ini, 
yakni sama-sama menular. Virus flu burung 
yang akan dibahas kali ini adalah sebuah virus 
komputer yang dapat menulari atau mengin- 
feksi dokumen-dokumen Microsoft Word 
Anda dengan caranya sendiri yang boleh 
dibilang beda dengan virus-virus lokal yang 
sekarang semakin heboh. Penasaran seperti 
apa? Ikuti terus bahasannya kali ini. 


SUCHOST . EXE 


2 SMSS 
OL 


bs 
186,433 


984.936.448 bytes free 


C:“Recycledd 


File induk virus yang bersembunyi di direktori “Recycle Bin”. 


68 


VIRUS 


P Flu Burung 
File Edit Format View Help 


Notepad 


puga Bunn 
Duffy DuC 


say "What's up doc?" 
say "I'm infected doc" 


Sp at the end of story they save the screen. 


PAJAK? Semua hal kena pajak. 
Barang mewah kena paja 
penghasilan kena pajak, sampan 
Indonesia pr dengan pajak! 
Orang bija 

Cuma udara yang dihirup yang tida 
dengan asap dan polutan. 
(Raven codename 
< 


Pesan dari pembuat virus. 


Apa Ciri-ciri dari FluBurung? 

Virus yang memiliki icon mirip seperti Mi- 
crosoft Word ini memiliki ukuran tubuh 
sebesar 46.592 bytes. Di-compress meng- 
gunakan tool executable compressor ASPack 
dan menggunakan sedikit teknik enkripsi. 
Seperti kebanyakan virus lokal lainnya, virus 
ini diprogram menggunakan bahasa favorit 
para virus maker, yakni Visual Basic. Pada 
resource yang ada di tubuh virus ini, terdapat 
icon—icon Ms. Word dan version information 
yang dibuat sedemikian rupa agar mirip de- 
ngan aplikasi Ms. Word yang tentunya agar 
user tidak curiga. Selain itu, terdapat juga 
resource dengan nama FLU BURUNG, yang 
setelah di-unpack resource ini berupa text bia- 
sa yang merupakan pesan dari 
pembuat virus. Dan apabila 
virus ini menginfeksi dokumen 
Ms. Word Anda, extension-nya 


46,592 SUCHOST . EXE 
46,592 SMSS. EXE 

46,592 SPOOLSU . EXE 
46,592 CTFMON.EXE 


, nabung di bank lap bulan potong pajak, 
makanan pun ke j 

Tidak heran penuh pembajak. 

bayar palass takut pajak jadi pembajak. 


na pajak. 


kena pajak, namun sudah tercemar 


"Tanya kenapa?" 
'05062705056127019455") 


menjadi .scr, yang secara default merupakan 
extension untuk file Screen Saver. 


Bagimana la Menginfeksi? 
Pada saat kali pertama aktif, yang dilakukan- 
nya adalah memeriksa apakah sistem tersebut 
sudah pernah diinfeksi? Apabila belum, maka 
ia akan menginfeksinya. Cara yang dilakukan- 
nya cukup unik, yakni memeriksa apakah pada 
direktori Recycle Bin sudah terdapat “agen” 
dari sang virus. Kalau belum, dengan senang 
hati ia akan segera meng-copy-kan tubuh 
asli dari sang virus ke direktori Recycle Bin 
tersebut yang secara default direktori tersebut 
sebenarnya bernama Recycled dan biasanya 
akan terdapat pada setiap drive harddisk. 
Hal yang telah dilakukannya ini memang 
berbeda bila dibandingkan virus lokal lainnya, 
karena ia memilih folder Recycle Bin sebagai 
“rumah” -nya dan bukan di direktori win- 
dows atau system. Cerdik memang, apalagi 
file yang sengaja di-copy ke direktori Recycled 
ini, tidak dapat terlihat begitu saja. Nama 
file induk yang digunakan pun mirip sekali 
dengan nama-nama process atau service 
penting dari Windows yakni CTFMON.EXE, 
SMSS.EXE, SPOOLSV.EXE, dan SVCHOST. 
EXE. Apabila tubuh virus dilihat menggu- 
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nakan hex editor, data mengenai nama-nama 
file induk-nya tidak dapat dibaca dengan 
mudah begitu saja, karena seperti yang dibi- 
lang di awal, virus ini menggunakan sedikit 
teknik enkripsi. 

Hal ini juga berlaku bagi beberapa string 
lain, seperti key, section, ataupun item di 
registry yang ia ubah. Dan setelah file induk 
berhasil ditanamkan pada sistem tersebut, ia 
akan mengubah registry agar dapat otomatis 
aktif pada saat memulai Windows, yang salah 
satunya terletak pada HKEY. CURRENT USER, 
SOFTWARE WicrosoftWindows NT\Current- 
VersionWinlogonShell. Pada sistem yang 
telah terinfeksi juga akan terdapat pesan dari 
pembuat virus pada direktori Temporary. 

Selain itu, tubuh virus ini juga memiliki nilai 
hashing yang berbeda-beda, karena setiap ia 
membuat duplikat dari dirinya, ia akan mem- 
buat nomor acak yang akan diletakkan pada 
akhir tubuh aslinya sebanyak 4 bytes. 


Teknik Enkripsi 

Dengan bermodalkan salah satu string yang 
terdapat di tubuh virus tersebut “MSMNAUN , 
akhirnya ketemulah enkripsi yang digunakan. 
Sangat sederhana, yakni hanya memundurkan 
setiap nilai karakter ASCII sebanyak 7 karakter. 
Dan dengan membuat program kecil yang 
akan mendekripsikan seluruh string yang ter- 
enkripsi, maka didapatkan hasil bahwa string 
“MS\fNY\UN” adalah “FLU BURUNG". 


Infeksi File DOC 

Sebenarnya banyak hal menarik yang dilaku- 
kan oleh virus ini. Salah satunya lagi adalah 
dengan menginfeksi setiap document Ms. 
Word yang baru saja dibuka. Seperti yang kita 
ketahui bahwa apabila kita membuka suatu 
dokumen, entah itu file txt, rtf, doc, ataupun 
yang lainnya maka windows menyimpan 


File Edit View Favorites Tools Help 


Ok- O- P P Search [E roter | o a 


history atau recent document mengenai file 
apa saja yang pernah dibuka. Anda dapat 
dengan mudah melihatnya dengan meng- 
klik “Start>Documents”. Dan itulah yang 
dilakukan oleh virus ini. la akan mencoba 
mendapatkan direktori asli yang menyimpan 
informasi recent document, yang secara de- 
fault terletak pada direktori “Documents and 
Settings\%UserName%\Recent” lalu memba- 
ca isi dari direktori tersebut. Apabila terdapat 
link yang mengarah ke file .doc maka dengan 
sigap virus ini akan menginfeksikannya. 

Teknik infeksi yang digunakan adalah de- 
ngan cara menambahkan file dokumen asli ke 
bagian akhir dari tubuh asli virus. Dan meng- 
gunakan nama yang hampir mirip dengan 
aslinya, yang membedakan hanya ektension- 
nya, yakni .scr. Sementara dokumen yang 
asli disembunyikannya dengan memberikan 
attribut hidden. 

Jelas saja apabila file yang sudah terinfeksi 
virus tersebut Anda coba buka paksa dengan 
Ms. Word, maka tidak akan bisa karena for- 
matnya berbeda, bukan lagi file Ms. Word 
tapi menjadi Executable. Tapi kalau Anda klik 
ganda file yang terinfeksi tersebut, dokumen 
tersebut dapat terbuka dengan baik pada 
Ms. Word. Sebenarnya cara kerjanya cukup 
sederhana, yakni pada saat menjalankan 
dokumen yang terinfeksi, virusnya terlebih 
dahulu yang akan memegang kendali, lalu 
ia akan mencoba mengeluarkan data yang 
merupakan dokumen Ms. Word tadi yang 
ada di akhir tubuhnya dan diletakkan pada 
direktori ia berada. Lalu menjalankan doku- 
men yang berhasil dikeluarkan dari dalam 
tubuhnya itu. 


Mengubah registry 

Karena extension file yang digunakan pada 
saat menginfeksi file adalah .scr, jadi virus 
Beberapa file dokumen Ms. 


Word asli dan yang telah 
terinfeksi. 


© C:\Data Skripsi 


fail 


X Name a 
Æ| “)Bagian Utama BAB II.doc 


S É My Documents F a Bagian Utama BAB II.scr 
[=] 3 My Computer p SpE 

S A 314 Floppy (A:) d tar Isi.scr 

B &@ SYSTEM (C:) | "AJKATA PENGANTAR.doc 


Data Skripsi 


` Size | Type 
29KB Microsoft Word Document 
74KB Screen Saver 
20KB Microsoft Word Document 
6SKB Screen Saver 
126KB Microsoft Word Document 


ò | KATA PENGANTAR.scr 171KB Screen Saver 
E È Documents and Settings (= Makalah Evhy.doc 22KB Microsoft Word Documen? 
S © GameHouse H) Makalah Evhy.scr 67KB Screen Saver 


8 (=) My Virtual Machines 
Dra 
BB © Program Files 
E] Recycled 
j 


8 objects (Disk free space: 3,40 GB) 
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=) Makalah Evhy.doc 
Makalah Evhy.scr 


22KB Microsoft Word Document 


67KB Screen Saver 


| 
"8 My Computer 


Virus 


Flu Burung 


melakukan banyak perubahan untuk exten- 
sion ini di registry, tujuannya jelas untuk 
menyamarkan kehadirannya. Seperti pada 
type information dari " Screen Saver” menjadi 
“Microsoft Word Document”. Dan masih 
banyak beberapa key atau item lainnya yang 
ia ubah. 

Tidak seperti virus lainnya yang selalu men- 
disable beberapa opsi penting pada Windows 
seperti MsConfig, Regedit, Command Prompt, 
Folder Options, dan lain sebagainya, pada 
virus ini hal tersebut tidak dilakukan. Namun 
untuk Folder Options, yang ia lakukan adalah 
mengeset default UncheckedValue untuk 
HideFileExt dan SupperHidden, jadi walau- 
pun kita mencoba masuk ke Folder Options 
untuk mengubah settingan-nya, tidak akan 
berpengaruh apa-apa. Karena tetap saja 
Windows tidak menampilkan extension dan 
file dengan attribut hidden. 

Dan pada key "HKEY CLASSES ROOT" 
virus juga melakukan beberapa perubahan 
pada item OuickTip, Tilelnfo, dan InfoTip. 


Stay Resident in Memory 

Pada saat virus aktif, maka ia akan berse- 
mayam di memory dan memonitor aksi yang 
dilakukan oleh user. Di memory, virus ini me- 
miliki tiga process atau lebih, dengan nama 
yang sama seperti file induknya. Apabila ada 
yang mencoba untuk membunuh process- 
nya, dengan segera ia akan memanggil kem- 
bali process yang telah di-kill tersebut. Hal 
tersebut juga berlaku untuk item autostart 
virus di registry. Otomatis akan dibuat ulang 
apabila ada yang mencoba menghapusnya 
dari registry. 

Selain itu, tugas virus yang lebih penting 
lainnya adalah memonitor folder “Recent 
Documents”, karena ia akan segera mengin- 
feksi setiap ada dokumen yang baru dibuka. 


Membasmi FluBurung 

Yang agak ribet dalam membasmi virus ini 
adalah mendisinfektan file dokumen Ms 
Word yang telah tertular oleh virus FluBu- 
rung ini. Maka dari itu, bila komputer Anda 
terinfeksi, silakan menggunakan PCMAV 
RC8 untuk membersihkannya, namun tidak 
ada salahnya untuk membuat backup-nya 
terlebih dahulu, untuk menghindari hal-hal 
yang tidak diinginkan. Namun apabila PC- 
MAV tidak dapat mengenali virus FluBurung 
tersebut, silakan Anda kirimkan sampel virus- 
nya kepada kami. Kami tunggu! m 
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